文 │ 对外经济贸易大学数字经济与法律创新研究中心执行主任 许可

如果说2018年因欧盟《通用数据保护条例》(GDPR)生效而被称为世界数据治理元年,那么2019年就是延续与反思之年。从美欧到中国,从立法到执法,全球数据治理格局呈现“不变中的变化”与“变化中的不变”。

一、个人数据保护执法:一山更比一山高

2019年,英国信息专员办公室(ICO)凭借GDPR利剑,对英国航空(British Airways)和万豪国际(Marriot)分别开出1.8339亿英镑和9920.0396万英镑的巨额罚单。而在大西洋的彼岸,美国联邦贸易委员会对Facebook开出了50亿美元的罚单,可谓前无古人。在中国,2019年伊始,中央网信办、工信部、公安部、市场监管总局即联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》,在全国范围开展专项治理。在联合治理之外,公安部开展的“净网2019”专项行动、市场监管总局开展的“守护消费”暨打击侵害消费者个人信息违法行为专项执法行动、工信部网安局开展的“电信和互联网行业提升网络数据安全保护能力专项行动”、工信部信管局开展的“信息通信领域 App侵害用户权益专项整治行动”,亦前赴后继,形成了具有中国特色的个人信息保护执法格局。与美欧相比,中国的执法机关更分散,法律依据更多样,处置措施也更复杂。

事件1:英国航空和万豪国际因违反GDPR遭受巨罚

2019年7月8日,英国ICO宣布其拟就英国航空违反GDPR的行为对其处以1.83亿英镑的罚款。在该事件中,访问英国航空网站的用户流量被导向了一个欺诈性网站,大约50万名消费者的姓名、电子邮件地址、信用卡等信息遭到泄露。2019年7月9日,ICO宣布就万豪国际违反GDPR的行为对其处以9920万英镑的罚款。

事件2:因8700万数据被滥用Facebook被罚50亿美元

2018年3月,《卫报》和《纽约时报》曝出英国政治咨询公司剑桥分析(Cambridge Analytica)在未获得用户授权的情况下,通过在线性格测验的方式获取8700万Facebook用户的个人信息,在2016年的美国总统大选中,这些数据被用于新闻或观点的精确投放,以帮助特朗普团队。“剑桥分析”事件后,美国联邦贸易委员会(FTC)重启对Facebook的调查,旨在探明其是否违反了和解令,并对Facebook处以50亿美元的罚款。但是,Facebook的代价绝不限于罚款,此次针对Facebook的新和解令象征FTC在隐私与网络安全方面监管公司的重大变化。

事件3:中国App专项治理

2019年,中国四部委开展App专项治理工作,对1000余款App的协议文本、使用体验、技术细节三方面进行测试,督促问题严重的近300款App进行整改,整改问题达800余个,并制定和实施了《App违法违规收集使用个人信息行为认定方法》,明确“未明示收集使用个人信息的目的、方式和范围”“未经用户同意收集使用个人信息”“违反必要原则,收集与其提供的服务无关的个人信息”等违法行为的具体含义。

二、个人数据保护立法:美国的宪法时刻

在GDPR影响下,2018年,美国加州率先出台了《加州消费者隐私法案》(CCPA),但是,加州并非独行者。在美国,激烈的公众讨论和行动将可能导致传统隐私权的结构性变化,以至于2019年成为美国个人数据保护的宪法性时刻(Privacy’s Constitutional Moment)。

事件4:《加州消费者隐私法案》的重大发展

2019年10月10日,加利福尼亚州总检察长Xavier Becerra宣布发布CCPA实施条例草案,为2020年1月1日生效的CCPA铺平了道路。尽管CCPA相对宽松,但是,在有些方面,它比GDPR走得更远。CCPA实施条例特别规定了企业在收集个人信息之时或之前向消费者履行的告知义务;关于选择退出出售个人信息之权利的告知义务(如设置“请勿出售”按钮);关于为收集、出售或删除个人信息而可能提供的财务激励或者价格或服务差异的告知义务;以及企业隐私政策必须包含的内容。此外,它还强调“无区别对待”原则。企业不得因消费者行使其在CCPA下的权利而区别对待该等消费者。但是,这不意味着企业不能提供差异化的价格或服务,前提是该等差异与相应消费者数据向企业提供的价值“直接相关”。

事件5:美国联邦隐私法案的提出

在CCPA的刺激下,伊利诺伊州、纽约州和华盛顿州都在筹备自己的个人信息保护法,层出不穷的立法使科技公司开始支持联邦层面的统一立法。2019年11月26日,多名民主党参议员联合提出《消费者线上隐私权法》(COPRA)。这份综合性隐私法案将向个人授予对他们数据的广泛控制权、设置关于数据处理的新义务以及扩大美国联邦贸易委员会(FTC)在数字隐私方面的执法职能。

与CCPA相比,COPRA首先明确了个人一系列数据权利,包括访问权、删除权、更正权和可携带权以及反对数据转移给第三方的权利。其次,它指示FTC成立一个新的部门专门负责隐私和数据安全问题,并设立一个“数据隐私和安全救济基金”,用于补偿受影响的个人。COPRA还指示FTC发布实施条例,例如进一步定义敏感的涵盖数据,并建立相应流程以供个人反对涵盖数据的转移。最后,COPRA向个人赋予了私人诉讼权,个人每天就每一侵权行为可以获得的一般损害赔偿从100美元至1000美元不等。

三、数据跨境流动:云深不知处

不论是GDPR,还是《澄清域外合法使用数据法案》(CLOUD法案),均尝试确立数据跨境流动的新规则。不过,GDPR所规制的主要是贸易场景下大规模而持续的数据流动,而CLOUD法案所讨论的则是执法协作场景中跨境电子证据调取机制。自2018年3月出台以来,CLOUD法案引发了无穷争议,也迫使相关国家启动与美国的双边谈判,重构数字时代的数据流动框架。

事件6: 欧洲数据保护委员会发布关于美国CLOUD 法案以及对GDPR之域外效力的意见

2019年7月10日,欧洲数据保护委员会(EDPB)和欧洲数据保护监督机构(EDPS)发表了一项联合评估,指出CLOUD法案的域外效力可能导致服务提供商“较易面临美国法律与GDPR及其他适用的欧盟法律或成员国国内法律之间的法律冲突”。两部门指出,GDPR第48条规定,非欧盟权力机构要求在欧盟以外转移个人数据的任何命令都必须得到司法互助条约(MLAT)等国际协议的承认,方才有效。因此,两部门称,“欧盟企业通常应当拒绝直接的请求并且请发出请求的第三国权力机构依照现行有效的法律互助条约或协议行事”。另一方面,这并不意味着GDPR与CLOUD法案绝对不相容,在保护生命或人身安全等个人“重要利益”的情形下,相关数据可以跨境传输。这显然是不够的,两部门建议欧盟和美国就一项新的国际协议开展谈判,该协议应包含强有力的程序保障措施并保护基本权利,同时支持“双重犯罪”原则。

四、平台数据之争:公地还是私域

2019 年 10 月 31 日,第十九届中央委员会第四次全体会议通过的《推进国家治理体系和治理能力现代化若干重大问题的决定》首次将“数据”纳入与劳动、资本、土地并驾齐驱的生产要素,这凸显了数据的经济地位。由于数据自身的特殊性,数据在“使用上的排他性”和“享有上的竞争性”方面与传统财产迥异,使确立数据使用规则困难重重。2019年,围绕网络平台数据的中外诉争恰恰显示了这一分歧。

事件7:hiQ Labs 诉LinkedIn案上诉判决出炉

2019年9月9日,美国第九巡回上诉法院对“hiQ诉LinkedIn案”做出裁决,认定hiQ Labs公司从领英(LinkedIn)抓取公开的个人信息数据的行为并未违反《计算机欺诈和滥用法案》,维持此前做出的对hiQ Labs公司有利的裁决。在本案中,hiQLabs对公开信息的爬取行为是否构成CFAA下“未经授权访问”,是核心争点。对此,上诉法院着重指出,CFAA此处禁止的是类似“破坏并闯入”计算机的行为,而非仅仅“使用”计算机的行为。因此,CFAA是一部“反侵入”法,而非反“滥用数据”法。领英网站数据默认对所有人公开,人人得以访问,不适用CFAA,hiQLabs不构成“未经授权访问”。

事件8:腾讯诉今日头条不正当竞争案

2019年1月15日,今日头条推出短视频社交产品多闪,其下载链接短时间内被微信屏蔽,理由是“网页包含不安全内容”。三天后,今日头条母公司字节跳动官网的链接(bytedance.com)步其后尘,微信页面显示“网页包含诱导分享、关注等诱导行为内容,被多人投诉,为维护绿色上网环境,已停止访问”。一周后,事态进一步升级,抖音的新用户无法以微信授权的方式登录抖音App。2019年2月28日,腾讯一纸诉状,将头条诉诸法院。2019年3月20日,天津市滨海新区人民法院公布了对腾讯起诉字节跳动旗下抖音、多闪涉嫌违规使用用户数据一事的裁定结果。法院裁定,抖音立刻停止在抖音中向抖音用户推荐好友时使用来源于微信/QQ开放平台的微信用户头像、昵称;立刻停止将微信/QQ开放平台为抖音提供的已授权微信/QQ的登录服务提供给多闪使用,并不得以类似方式将其提供给抖音以外的应用使用;抖音、多闪立刻停止在多闪中使用来源于微信/QQ开放平台的微信用户头像、昵称。

与hiQ Labs 诉LinkedIn案不同,本案并不涉及数据爬取,而是经由腾讯开放平台应用编程接口(Open API)的数据调取,故此,法院所审查的重心自然落在Open API的数据调取规则,也就是双方签署的开放平台《开发者协议》上。根据《开发者协议》,抖音和多闪是由不同的企业主体运营的独立应用,多闪并未申请接入微信/QQ开放平台,也并未与腾讯达成《开放者协议》,并非合同的一方,不享有通过Open API调取任何数据的权利。同时,根据《开发者协议》第2.7.6条,它也不能从抖音那里间接获取数据,因而,多闪应当将非法获取的头像和昵称删除。其次,对于抖音而言,其固然有权调取数据,但是,必须在《开发者协议》授权的范围内。《开发者协议》第2.7.2和2.7.3条明确规定,抖音不得将所合法获得的前述数据自行或提供给其用户、客户用于创建、补充或维护自身关系链,不得利用合法获得的数据(包括但不限于微信用户关系链等)实施或变相实施任何形式的推广、营销、广告行为。因此,尽管抖音获取数据并未违约,可它展示头像和昵称进行推广的数据使用方式却违反了《开发者协议》。

五、迈向公共治理的数据治理

数据不仅仅是企业的投入品,更是国家经济运行机制的重要生产要素,是国家治理能力的“基础性战略资源”;数据亦不仅仅是企业的产出品,更关乎世界范围内的生产、流通、分配、消费活动,具有全球化和跨国界的天然属性;数据也不仅仅限于企业,在数字化生存的时代,它改变了普罗大众对自我和对隐私的观念,同时塑造了人与人交往的方式。随着整个社会的数字化转型,在过去一年,数据治理开始从个人和企业的私领域日益向公共领域迈进。

事件9 :公共的“人脸”

浙江理工大学特聘副教授郭兵于2019年10月28日向杭州市富阳区人民法院提起诉讼。这一案件肇始于一封短信。作为杭州野生动物世界的年卡用户,杭州野生动物世界通过短信的方式告知郭兵“园区年卡系统已升级为人脸识别入园,原指纹识别已取消,未注册人脸识别的用户将无法正常入园,同时也无法办理退费”。郭兵认为,人脸识别等个人生物识别信息属于个人敏感信息,一旦泄露、非法提供或者滥用,将极易危害消费者人身和财产安全。

事件10:《数据安全管理办法(征求意见稿)》和《网络信息内容生态治理规定》发布

数据是个人、企业、社会、国家利益的聚合点,2019年5月28日发布的《数据安全管理办法(征求意见稿)》回应了这一趋势,将个人信息、国家重要数据和企业数据资源均囊括其中,形成了“狭义数据安全”(保密性、完整性、可用性、可控性)和“广义数据安全”(避免因数据的收集、存储、处理和使用给个人、社会和国家造成危害)的复合结构。12月25日发布的《网络信息内容生态治理规定》进一步提升了数据治理的公共性。遵循网络空间共享共治的理念,该规定以建立健全网络综合治理体系、营造清朗的网络空间、建设良好的网络生态为目标,要求政府、企业、社会、网民等各个主体各负其责,开展弘扬正能量、处置违法和不良信息等相关活动。这一规定站在网络空间的宏观视角重新思考数据解决之道,未尝不能成为数据公共治理的新思路。

六、2020年新趋势

在一本25年前的书《未来之路》中,比尔·盖茨畅想了互联网带来的虚拟现实、智能助手、定向广告和P2P金融革新,同时,他也提出对个人隐私、商业秘密和国家安全的忧虑。如今,未来已来,答案还需要每个人思考,人类只有在科技、伦理与法律的互动之中寻找正确的方向。

(一)个体对数据保护的关注度持续提升

在欧洲,GDPR的实施让欧盟民众的个人数据权利意识飙升。欧盟的调查显示,2015年,大约只有20%的人知道政府保护个人数据,而现在有57%的人了解到国家专设了数据保护局,提供个人数据权的缜密保障,有67%的人听说过GDPR这部法律。同时,向各成员国数据保护局咨询GDPR和提出申诉的人日益增多,非营利组织代表个人发起的申诉也开始出现。

在美国,IBM商业价值研究院的一项隐私调查显示:消费者强烈关注个人数据问题。其中,有81%的消费者表示,他们已经更加关注公司如何使用其数据,而87%的消费者则认为,公司应在个人数据管理方面受到更严格的监管。

在中国,利用百度关键词的趋势研究,可以发现,2019年,主要测量网民关注的“资讯指数”(其将网民的阅读、评论、转发、点赞、不喜欢等行为的数量加权求和得出)在个人信息/隐私上录得新高,这与两年前主要是各大新闻报告关注的局面截然不同;因传播需要或界定不清,网民主要使用“隐私”而非“个人信息”一词,相反,专业的新闻机构已区分两者,自2018年起基本使用“个人信息”的概念。中国公众对个人信息/隐私的关注并非空穴来风。过去一年,人脸识别、视频监控、监控摄像头的普遍使用,从反面提升了大众的权利意识。根据欧洲专利办公室的统计,全球在上述领域的专利申请在2019年飙升,而中国又独占鳌头。

民众权利意识的提升亟待法律回应。2020年即将出台的《民法典》将单辟“隐私权和个人信息保护”一章,对私密信息和个人信息加以规定。不仅于此,2020年也是我国《个人信息保护法》制定的关键时刻,如何在满足民众对个人信息保护诉求的同时,平衡企业和政府对个人数据的利用,是一个棘手而复杂的问题。

(二)对产业“科技抵制”的思潮依然持续

大西洋两岸对大科技公司的调查和执法均日益趋紧。2019年6月,美国司法部和联邦贸易委员会对苹果、亚马逊、Facebook和 Alphabet(Google母公司)的反垄断管辖权进行了划分,从而为2020年的正式调查奠定了基础。在国会层面,由美国司法部前官员、耶鲁大学经济学教授莫顿(Fiona Morton)提出“成立一家数据联邦通信委员会”(Digital FCC)的建议日益赢得支持,这一新的机构将监督大型科技企业的运作,从而保护竞争。可以预见,在2020年,大科技公司个人信息保护以及数据垄断行为仍是持续发酵的核心议题。

如果说中国在2019年持续一年的App专项治理以个人信息收集为焦点,那么,在2020年,执法有可能延伸到个人数据的保存、处理、共享和删除环节,人脸信息等生物识别信息也会被严肃对待。随着《关键信息基础设施安全保护条例》的发布和《数据安全管理办法》的制定,大科技公司以及手握影响国家安全、公共利益的“重要数据”的企业,将面临更严峻的监管态势。此外,2020年1月2日,国家市场监管总局公布《<反垄断法>修订草案(公开征求意见稿)》,新增“认定互联网领域经营者具有市场支配地位还应当考虑网络效应、规模经济、锁定效应、掌握和处理相关数据的能力等因素”一条,为我国开启数据领域反垄断执法铺平了道路。

(三)不断完善“通过数据”的政府治理

在“对数据治理”和“用数据治理”的二分法下,政府更偏向后者,即通过数据实现政府治理的一般目标。放宽视野看,这也是推进国家治理体系和治理能力现代化的重要一环,或者用国务院《促进大数据发展行动纲要》的表述,建立一个“用数据说话、用数据决策、用数据管理、用数据创新”的管理机制。通过数据治理,可以在如下方面发挥作用,一是公共服务的开放化、个性化和便捷化;二是行政决策的回应化和智能化;三是行政监管和个案调查的主动化和敏捷化。上述内容落实到数据治理环节,即公共数据开放、公共数据共享、公共数据报送。

公共数据共享是“用数据治理”的“基础设施”。如何在不同政府部门之间打破数据孤岛,促进数据安全合规的流通是数据驱动型治理的症结所在。尽管我国“通过数据的治理”已取得显著成绩,但是,其所带来的侵害个人、企业权益的风险还未被充分重视。2019年,“社会信用体系建设”的争议反映出公众对于“一处失信,处处受限”的不满,其实质是公共数据在政府内部之间共享导致的“与事件无关之考虑”,涉嫌违反不当联结禁止原则。2019年,在数据开放环节,因数据公开导致个人诉请删除个人信息的案件已经出现,如何在公众知情权和个人信息权益之间达到平衡,值得认真对待。此外,公共数据报送也频频遭受数据事项过多、范围过宽、报送目的不明确、报送程序不健全等诟病。如何在数据报送过程中落实依法报送、权利保障、正当程序和比例原则,必将成为未来制度的关键。

(本文刊登于《中国信息安全》杂志2020年第2期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。